1、背景

虽然涉密单位涉密网与互联网物理隔离，但由于涉密单位上互联网人员身份特殊性，为了防范通过互联网有意或无意失密泄密，同时又能利用互联网获取技术资料，查询信息，宣传形象，需要通过技术手段对涉密单位互联网上网行为进行控制与审计。

    2、主要功能

1）实名制计算机登录控制：只有单位内部人员才能登录计算机并访问互联网，否则禁止登录。实名制通过出入门禁卡进行识别，只有持有单位授权的门禁卡才能登陆（除非另有授权）。

2）U盘信息拷入计算机审计：互联网上网控制的目的是防止敏感信息上传，敏感信息主要来源之一是通过U盘拷入，因此，当U盘信息拷入到计算机时，将记录拷入文件信息，包括拷入文件名、大小、日期等。同时，禁止单位注册认证U盘在上网计算机上使用，当有意或无意使用单位内部注册U盘时，将产生报警并记录注册U盘有关信息。

3）登录网站控制与审计：可定义允许登录的网站；可定义禁止登录的网站；审计系统记录登录网站信息；

4）敏感信息检查和过滤：检查登录计算机是否存储、编辑或上传敏感或禁止的信息，如有，则报警且禁止信息上传。

5）文件加密：提供互联网文件传输安全保护。内嵌有通过测评的文件加密系统，当通过网络传输时，可对传输文件加密，接收方只有获得解密密码和解密工具（解密软件）才能打开加密文件，保证文件通过互联网传输安全。

6）实名制审计：登录者登录计算机后，审计控制台将实名制记录登录人姓名、计算机名称、登录时间/日期等。

7）信息发送审计：邮件审计，QQ聊天审计，博客审计等。

8）审计信息管理：只有审计员或授权人员才能浏览后台审计信息；审计信息加密存储，不可修改；具有统计、查询、打印、导入、导出等能力。

9）备份存储：审计信息和后台管理信息，可定时备份功能或手动备份。

3、系统结构

C/S结构，三部分组成：客户端、管理控制台、服务器。

客户端：包括登录控制软件和读卡器，确保正确的实名制后才允许登录。登陆控制软件驻留在客户端，具有极强的自我保护能力，客户端只能透明、强制使用，不可卸载和绕过；读卡器用于识别登陆者实名身份。

控制台：用于制定策略、审计浏览、备份、导入等操作。

服务器：连接客户端，存储管理需要的有关数据，对客户端的状态进行检测，下发客户端策略，接收客户端上传的信息。